Троян розсилає спам через Facebook

Компанія "Доктор Веб" попереджає користувачів про появу шкідливих програм сімейства Trojan.OneX, які при зараженні комп'ютера розсилають спам в найбільшій в світі соціальної мережі Facebook, а також
через программи-мессенджери.

Серед повідомлень, що розсилаються Трояном, поширені посилання на підроблені сайти, що належать зловмисникам: один з них, зокрема, імітує оформлення служби Rapidshare.

В даний час зафіксовано розповсюдження двох модифікацій цього Трояна, що трохи розрізняються по своїх функціональних можливостях. Кількість жертв зловмисників при такій моделі розповсюдження може бути украй велике.

Trojan.OneX працює тільки в 32-розрядній версії ОС Windows, в 64-розрядній ОС він завершує роботу після завантаження з сервера, що управляє, текстового файлу. Після запуску на інфікованій машині Trojan.OneX.1 перевіряє наявність своєї копії в операційній системі, а потім розшифровує з власних ресурсів адресу видаленого сервера, з якого завантажується спеціальний текстовий файл. Цей файл містить декілька рядків англійською мовою виду «hahaha! http://goo.gl[.].jpeg», на яких згодом підмінятимуться повідомлення користувача, що відправляються їм в соціальну мережу Facebook. Повідомлення замінюються строчками з даного файлу тільки в режимі чату, при цьому відправка оригінального послання блокується. Кожну годину Троян завантажує з видаленого сервера новий конфігураційний файл.

Trojan.OneX.1 шукає в операційній системі запущені процеси з іменами firefox, iexplore і IEXPLORE, при виявленні повністю вбудовується в них і перехоплює функції, що відповідають за відправку повідомлень.

Незабаром після появи першої модифікації троянця у розпорядженні вірусних аналітиків компанії «Доктор Веб» з'явився зразок шкідливої програми, що отримала назву Trojan.OneX.2. На відміну від першої версії Трої друга модифікація Trojan.OneX використовує для відправки повідомлень популярні программи-мессенджери за допомогою процесів pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. У момент відправки повідомлень на інфікованому комп'ютері блокується миша і клавіатура. На відміну від Trojan.OneX.1, Trojan.OneX.2 «уміє» працювати з конфігураційними файлами в кодуванні Unicode.

Серед повідомлень, що розсилаються Троєю, поширені посилання на тих, що належать зловмисникам підроблені сайти: один з них, зокрема, імітує оформлення служби Rapidshare. Користувачеві пропонують викачати під виглядом зображення у форматі JPEG zip-архив, в якому розташовується Photo14.JPG.scr — виконуваний файл (Trojan.Packed.22289), що містить в собі Трої Backdoor.IRC.Bot.1446. Ця троянська програма не тільки відкриває зловмисникам доступ до інфікованого комп'ютера і здатна викрадати конфіденційні дані, але і дозволяє виконувати на зараженій машині різні команди, зокрема, команду завантаження і установки інших застосувань. Примітно: фахівцями компанії «Доктор Веб» були зафіксовані випадки розповсюдження за допомогою Трояна Backdoor.IRC.Bot найшкідливішої програми Trojan.OneX, яка, у свою чергу, сприяє подальшому розповсюдженню Backdoor.IRC.Bot.